최근 금융 플랫폼 T사 수십억 원대 과징금 처분 사례는 빅테크 기업이 개인정보와 개인신용정보를 관리하며 준수해야 할 법적 요건의 중요성을 다시 한번 상기시켜주는 사건이 되었습니다. 개인(신용)정보 보호는 단순히 규제를 준수하는 차원을 넘어, 고객의 신뢰를 확보하고 지속 가능한 경영을 가능하게 하는 필수적인 요소입니다.
이번 뉴스레터에서는 T사의 사례를 통하여 기업이 개인(신용)정보보호와 관련하여 준수해야 할 주요 법적 원칙 등을 살펴보고, 이를 통해 기업이 나아가야 할 방향을 알아보고자 합니다.

• T사는 회원가입시 동의 받는 개인정보 수집·이용 동의서에서 필수 동의와 선택 동의를 명확히 구분하지 않고 선택 동의 항목을 필수로 설정하여, 상거래관계에 따라 제공되는 서비스와 직접적으로 관련되지 아니한 고객의 개인신용정보를 필수적 동의사항과 서비스 제공의 관련성에 관한 설명 없이 필수로 수집하였습니다. 신용정보법 제32조 제4항은 필수적 동의와 선택적 동의를 명확히 구분하고, 선택적 동의 항목에 대해 거부할 권리가 있음을 고지하도록 정하고 있습니다. 이러한 동의 절차를 위반할 경우 5천만원 이하의 과태료 부과 대상이 될 수 있는 점을 유의하여야 합니다.
• 한편, T사는 일부 서비스와 관련하여 개인신용정보 수집에 동의하지 않은 이용자의 개인신용정보를 수집하였습니다. 신용정보법 제33조 제1항은 개인신용정보는 상거래 관계의 설정 및 유지 여부를 판단하기 위한 목적 외의 목적으로 이용하기 위하여는 신용정보주체로부터 동의를 받아야 한다고 규정하고 있으며, 이를 위반하여 개인신용정보를 수집하고 이용한 경우 전체 매출액의 3% 이하 과징금이 부과될 수 있습니다.